1. 우리 나라는 그래도 세계 13위권(최근에 15위 밖으로 나간 적이 없음) 무역대국이고, 무역으로 먹고 사는 나라는 국가차원에서 '국제협약'을 중시하지 않을래야 않을 수가 없다. 그런데 국내에서 검찰이 미국 이메일 서비스의 계정 내용을 알아냈다고? 이거 '영장'등을 발부받아 알아낸 것은 절대로 아니다. 국내에서 영장이 나와도 구글이 대가리에 총 맞지 않는 이상 미국 영장도 없이 개인 정보를 넘겨줄리가 없다
-_-;;;(이거 국제분쟁감)
이건 사실 관계 조사해보면 바로 드러날 일이고, 구글측에서도 압수수색은 아니라고 했다.
2. 그러면 어찌 이메일의 내용을 알았을까? 예상할 수 있는 방법은 조사 대상자의 이메일 계정 비번을 알아내는 것이다. 구글에 대한 해킹은 절대 아니다-_-;;; 구글이 해킹당했다고 확인되는 시점(프로그래머나 관리자의 실수로 시스템이 엉키는 것1
을 제외)에 구글은 붕괴하기 시작한다. 전 세계에서 날고 긴다는 수학자, 보안전문가, 프로그래머들이 시스템을 만드는데 관여하는 곳이 구글이다. 구글에 정보부에서 뽑은 비밀요원이라도 들어가 있어서 상당한 레벨의 권한을 얻지 않는 이상 개인 정보를 유출시키는 것은 불가능은 아니지만 불가능에 가깝다고 봐도 무방하다. 한 마디로 구글이 공개적으로 evil이 되지 않는이상 '정상적인 방법2
'으로는 메일 내용 알아내기는 불가능.
3. 만약 비번을 알아서 계정에 접근해 내용을 알았다면 비번은 어찌 알았을까?
비번을 아는 방법은 해킹에 대해서 잘 알지는 못하지만 생각해 볼 수 있는 방법이 몇 가지 있다. 하나는 패킷 감시. 용의자가 gmail에 접근하기 위해 네트워크에 접속할 때 https를 사용하지 않았다거나 암호화되지 않은 AP를 통해 접근한 적이 있다면 오고간 패킷을 분석해서 알아내는 것이 이론적으로 불가능한 것이 아니다. 다른 하나는 해킹이고 뭐고 필요 없다. 당사자를 죠져서 비번을 알아내면 된다. 혹은 다른 서비스의 비번을 확인해서 gmail 계정에 적용했는데 우연히 들어맞는 케이스(움찔할 사람 많을 것이다. 기억력이 어지간히 좋지 않으면 그 많은 사이트의 비번을 모두 다른 것으로 설정하기는 불가능에 가깝다). 만약 전자의 방법이었다면 간첩 용의자가 멍청한 것이다-_-;;; gmail은 https를 지원한다. https라고 100%안전하다고 장담할 수는 없지만 사용한 컴퓨터를 압수당하지 않은 이상 암호화 프로토콜에 따라 차이가 있지만 기본 안전하다고 봐도 무방하다.
아무튼 정상적으로 '해킹'이라고 부를만한 기술은 사용되지 않았다는 것에 500원 건다.
4. 그래. 3번을 통해서 알아냈다고 하자. 그래도 구글과는 상관이 없는게...그냥 간첩용의자가 멍청한거다. 구글은 비실명 가입이 가능하다. 적어도 간첩이라고 하면 텍스트큐브 블로그로 망명하는 방법 및 장점
정도를 참고해서 계정을 만들고 IP숨겨주는 프록시 정도는 썼어야지-_-;; 만약 정말 간첩이라면 그냥 병신인증임. 이 정도면 북한의 정보력이나 대남 간첩활동은 신경 꺼도 됨-_- 지들 메일 계정 하나 못지키는 수준으로 무슨 간첩질.
5. 댓글보니 웃기지도 않는다. 에셜론이 어쩌구 저쩌구 하는데-_- 아무튼 헐리우드발 영화와 미드가 사람 여럿 망친다. 이건 암호화에 대해서 조금이라도 배우면 이런 무식한 소리를 못할텐데. 128bit 정도로 암호화하면 암호화 알고리즘이 완전히 공개가 되었더라도 그거 해독하는데 슈퍼컴퓨터 할애비라도 실시간으로 못푼다. 이게 가능하려면 전 지구적 차원의 음모론이 필요한데...그런 음모론이 재미는 있지만 그걸 심각하게 믿는 사람이 있다면... 에휴... '공부 좀 해라' (위키의 설명을 다 믿을 필요는 없다. 잘못된 정보도 무지하게 많으니까)
6. 그리고 참고로 암호화라고 하면 나폴레옹 시절이나 1/2차 세계대전 시절의 암호화를 상상하시는 분들이 많은데... 지금의 암호화 기술은 당시랑은 비교가 안 된다. 수학적으로나 알고리즘 적으로나. 지금은 캐릭터의 빈도수 조사해서 문장을 재구성하고...뭐 이럴 수 있는 수준의 암호화가 아니다. 충분한 엔트로피(임의성이라고 보면 된다)를 보장하기 때문에 암호화에 사용된 키를 모르면 해제할 수 없다. SSL, DES 등이 현재도 많이 사용되고 DES의 경우 미국 국가 표준으로 사용된 적도 있지만 컴퓨팅 능력의 향상으로 실시간은 아니더라도 몇 시간, 많아야 수십 시간 정도 주어지면 임의의 키를 무작위로 대입하는 방식으로 암호를 풀 수 있다. 물론 이것도 키가 56bit수준일 때의 이야기. 지금은 AES 128비트가 주로 쓰이는데 56bit 암호 푸는데 1ms가 걸린다고 쳐도 이게 128bit가 되면 1500억년 걸린다. 어느 정도 수준인지 감을 잡으시길. 그리고 '비번'같은 것을 기반으로 암호화가 된다고 생각하시는 분들도 있는데 암호화키는 사용자도 모르는(확인은 가능)키를 내부적으로 만들어 사용하는 경우가 흔하다. 접속 시도시의 시간정보라던지, 임의의 문자열이라던지 방법은 많음. 거기다 웹에서도 많이 사용하는 128비트 RSA나 SHA 같은 것은 개인키를 모르면 해독이 불가능해서(정확히는 너무 오래 걸려서 불가능이나 마찬가지라서) '외부'에서 어찌어찌 알기가 쉽지 않음. (뭐, 이것도 컴퓨터에 백도어 깔아놓고 암호화 인증서 관련된 정보를 뽑아내어 공개키, 개인키 알아내고 암호화 알고리즘 확인을 했다면 완전히 불가능한 것도 아니지만. 요즘 OS나 브라우져가 그 정도로 엉성하게 만들어 진다고 생각한다면 역시 전 지구적 차원의 음모론 신봉자...아, 구형의 OS를 사용하고 보안 업데이트도 안하고 백신이나 방화벽도 안 쓰고, 브라우저는 IE6를 쓰고 ActiveX를 생각 없이 깔아서 썼다면 어렵지 않을지도)
ps. 그러고보니 ActiveX를 깔아서 쓰게 만드는 등의 저수준의 보안의식이
간첩을 잡기 위해서?
는 아니겠지?
ps2. 내용의 오류에 대한 지적은 감사히 받겠습니다.
ps3. 이것은 뉴스 기사를 핑계로 한 가벼운 암호/보안 관련 이야기?
ps4. 굳이 요약하자면
개인 정보를 지키고 싶으면 외쿡에서 제공하는 https지원 이메일 서비스를 사용하고, 브라우져는 ActiveX함부로 못 까는 놈을 고르고(더더군다나 브라우져가 시스템을 건드리지 못하는 놈을 사용하길), https를 지원하는 사이트는 반드시 https를 이용해서 접근하고, 보안 업데이트는 꼬박꼬박 해 주고, 방화벽이나 백신은 적절히 사용하시면 당신이 극악 무도한 범죄자가 아닌 이상 당신 이메일 계정이 뒤져질 일은 없다고 봐도 무방함.
ps5. 확실하지 않아서 조심스럽지만 42월드의 경우 비공개글을 시스템 관리자가 읽을 수 있다는 소문이 있었음. 그리고 국내 포탈가운데 https 서비스 지원하는 곳이 있나? 혹시 아시는 분 있으면 알려주세요. 그리고 비밀번호 암호화 안 하고 저장하는 사이트도 부지기수임. 비밀번호 까먹고 알려달라고 해서 비밀번호가 통짜로 이메일로 오는 사이트는 중요한 계정의 비번이랑 다른 비번으로 바꿔놓는 것이 좋음. (비밀번호의 일부가 오는 경우도 마찬가지)
ps6. 트위터, 구글 등의 해외 서비스의 경우 https를 기본 지원하는 경우가 흔함. 국내의 보안 의식은 이런 곳에서부터 오티엘임. 복잡한 이야기 할 것도 없음.
ps7. 북한에 줬다는 정보도 굉장히 웃기다. 이거 코메디인가?
검찰에 따르면 김씨는 북한 공작원 장씨에게 2005년 8월~2009년 2월 친구의 한국 여권, 한국 정밀 지도가 담긴 CD 등을 건넨 혐의를 받고 있다. 또 해병대와 재향군인회 홈페이지 ID와 비밀번호, 포털사이트 다음의 이메일 계정, 국내 언론사의 남북 정상회담·북한 핵문제 보도내용, 김정일 생일축하 메시지 등을 지메일로 발송했다고 검찰은 설명했다.
1. 한국 여권은 굳이 북한 공작원에게 보내지 않아도 외쿡 나가면 분실 여권 얼마던지 구할 수 있을걸? 그걸 간첩이 한국에까지 위험부담을 무릅쓰고 들어와서 구해야 할 정도로 가치있는 거?
2. 한국 정밀 지도가 담긴 CD....구글맵, 다음맵, 네이버지도, 야후지도.... 아니 그 이전에 한국 '네비게이터'를 보내지 그랬어-_-;;; 하나 사면 온라인으로 지도 갱신도 해 주는데.
3. 해병대와 재향군인회 홈페이지 ID와 비밀번호...그냥 웃자고 쓴건가? 아, 개인정보 유출되어도 '군번'까지는 유출되지 않아서 가입하기 힘들려나? 포탈에 가입도 했다면서 카페같은거 만들어 놓고 군번이라도 적게 만들면 몇 명은 개념없이 적어줄지도 모르는데-_-;; 근데 거기에 뭐 괜찮은 정보라도 있는거야?
4. 포탈사이트 이메일 계정...그거 퍼질대로 퍼진 개인정보로 가입하면 됨-_-;;
5. 국내 언론사의 보도내용...북한에서 아무리 인터넷이 제한되었다고 해도 중국 PC방에서도 볼 수 있는 것을 정보라고orz
에휴.... 저런 정보를 북한에 주기 위해 활동하는 간첩이 불쌍하다. 이건 북한 병신 인증을 위한 언론 보도인가?
